Vendor perangkat lunak Kaseya telah merilis pembaruan keamanan yang menambal kerentanan vsa (Administrator Sistem Virtual) nol hari yang digunakan dalam serangan ransomware REvil baru-baru ini. Patch ini datang lebih dari seminggu setelah lebih dari 60 penyedia layanan terkelola (MSP) dan 1500 pelanggan mereka terkena dampak serangan ransomware, sumber yang segera diidentifikasi sebagai VSA Kaseya.
Penyerang, yang sekarang dikenal sebagai geng REvil yang terkenal, menggunakan kerentanan dalam paket perangkat lunak pemantauan dan manajemen jarak jauh VSA Kaseya untuk mendistribusikan muatan berbahaya melalui host yang dikelola oleh perangkat lunak. Hasil akhirnya adalah 60 anggota parlemen dan lebih dari 1500 perusahaan yang terkena dampak serangan ransomware.
Kerentanan dalam VSA Kaseya ditemukan pada bulan April oleh para peneliti di Dutch Institute for Vulnerability Disclosure (DIVD). Menurut DIVD, mereka mengungkapkan kerentanan kepada Kaseya segera setelah itu, memungkinkan perusahaan perangkat lunak untuk merilis tambalan untuk menyelesaikan sejumlah dari mereka sebelum mereka dapat disalahgunakan. Sayangnya, sementara DIVD memuji Kaseya atas tanggapan mereka yang tepat waktu dan tepat waktu terhadap pengungkapan, pihak-pihak jahat dapat menggunakan kerentanan yang tidak terkidah dalam serangan ransomware mereka.
Kerentanan yang diungkapkan kepada Kaseya oleh DIVD pada bulan April adalah sebagai berikut:
- CVE-2021-30116 – Kebocoran kredensial dan cacat logika bisnis, diselesaikan pada 11 Juli patch.
- CVE-2021-30117 – Kerentanan injeksi SQL, diselesaikan pada patch 8 Mei.
- CVE-2021-30118 – Kerentanan Eksekusi Kode Jarak Jauh, diselesaikan pada patch 10 April. (v9.5.6)
- CVE-2021-30119 – Kerentanan Scripting Lintas Situs, diselesaikan pada 11 Juli patch.
- CVE-2021-30120 – bypass 2FA, diselesaikan pada 11 Juli patch.
- CVE-2021-30121 – Kerentanan Inklusi File Lokal, diselesaikan pada patch 8 Mei.
- CVE-2021-30201 – Kerentanan Entitas Eksternal XML, diselesaikan pada patch 8 Mei.
Gagal menambal 3 kerentanan tepat waktu memungkinkan REvil untuk memanfaatkannya untuk serangan skala besar yang berdampak pada 60 penyedia layanan terkelola menggunakan VSA dan 1500 pelanggan bisnis mereka. Segera setelah Kaseya memperhatikan apa yang sedang terjadi, itu memperingatkan pelanggan VSA lokal untuk segera mematikan server mereka sampai merilis patch. Sayangnya, banyak perusahaan masih menjadi korban serangan ransomware yang pelakunya menuntut tebusan hingga $ 5 juta. Geng REvil kemudian menawarkan dekripsi universal seharga $ 70 juta, permintaan tebusan terbesar yang pernah ada.
VSA 9.5.7a (9.5.7.2994) memperbarui memperbaiki kerentanan yang digunakan selama serangan ransomware REvil
Pada 11 Juli, Kaseya VSA 9.5.7a (9.5.7.2994) patch merilis untuk memperbaiki kerentanan yang tersisa yang digunakan dalam serangan ransomware.
VsA 9.5.7a (9.5.7.2994) memperbarui patch berikut:
- Kebocoran kredensial dan kelemahan logika bisnis: CVE-2021-30116
- Kerentanan Skrip Lintas Situs: CVE-2021-30119
- Bypass 2FA: CVE-2021-30120
- Memperbaiki masalah saat bendera aman tidak digunakan untuk cookie sesi Portal Pengguna.
- Memperbaiki masalah di mana respons API tertentu akan berisi hash kata sandi, berpotensi mengekspos kata sandi yang lemah untuk serangan brute force. Nilai kata sandi sekarang ditopengkan sepenuhnya.
- Memperbaiki kerentanan yang dapat memungkinkan unggahan file yang tidak sah ke server VSA.
Namun, Kaseya memperingatkan bahwa untuk menghindari masalah lagi, On Premises VSA Startup Readiness Guide ” ” harus diikuti.
Sebelum admin melanjutkan untuk memulihkan konektivitas penuh antara server VSA Kaseya dan agen yang diterapkan, mereka harus melakukan hal berikut:
- Pastikan server VSA Anda terisolasi.
- Cek Sistem Untuk Indikator Kompromi (IOC).
- Patch Sistem Operasi Server VSA.
- Menggunakan URL Rewrite untuk mengontrol akses ke VSA hingga IIS.
- Instal Agen FireEye.
- Hapus Skrip/Tugas yang Tertunda.
Geng REvil tampaknya telah menjadi gelap
Geng ransomware REvil cukup cepat diidentifikasi sebagai pelaku di balik serangan itu. Setelah awalnya menawarkan dekripsi universal seharga $ 70 juta, mereka menurunkan harga menjadi $ 50 juta. Sekarang tampaknya infrastruktur dan situs web REvil telah diambil secara offline, meskipun alasannya tidak sepenuhnya jelas. Infrastruktur REvil terdiri dari situs web yang jelas dan gelap yang digunakan untuk tujuan seperti membocorkan data dan menegosiasikan tebusan. Namun, situs-situs tersebut tidak lagi dapat dijangkau.
Belum jelas apakah REvil memutuskan untuk menutup infrastrukturnya karena alasan teknis atau karena peningkatan pengawasan oleh penegak hukum dan pemerintah AS. REvil diketahui beroperasi dari Rusia, dan Presiden AS Biden telah melakukan pembicaraan dengan Presiden Rusia Putin tentang serangan itu, memperingatkan bahwa jika Rusia tidak mengambil tindakan, AS akan melakukannya. Apakah itu ada hubungannya dengan shutdown REvil yang jelas belum jelas.